Un attacco informatico con picchi di 130mila tentativi di accesso contemporanei, per lo più provenienti dalla Germania, ha colpito i server della Cgil proprio mentre i manifestanti capeggiati da Forza Nuova sfondavano le porte a vetri della sede del sindacato a Roma.
Un attacco DDoS, cioè Distributed Denial of Service, che ha messo fuori uso sito, comunicazione e testata giornalistica della Cgil nel sabato delle proteste dei No Vax e che è proseguito per 3 giorni, oscurando la presenza online del sindacato fino a lunedì mattina, quando il sito è tornato visibile, ma solo perché la società californiana incaricata di proteggerlo, CloudFlare, ha inibito gli accessi provenienti da fuori Italia. “Per ora non ci sono minacce estorsive, è un attacco a sfondo ideologico e non sappiamo chi siano né da dove vengono” ci hanno detto.
La Cgil non ha mai subìto attacchi di questo tipo, ma per i sindacalisti la sincronia con le manifestazioni No Vax e l’assalto alla sede romana è evidente. Però “non abbiamo dati sensibili su quel server, stiamo facendo le analisi” e “non sappiamo gli obiettivi degli assalitori”, ci ha detto chi è stato in trincea a difendere il fortino digitale sindacale. Quello che è certo è che “non siamo ancora tornati alla normalità”.
Un attacco potente, ma “stupido” che non ha bisogno di hacker esperti per essere eseguito, e allora la domanda diventa: è opera di qualche esperto informatico simpatizzante delle proteste contro vaccini e Green Pass oppure è attribuibile al Black Web, cioè al network della destra europea online? “Presto per dirlo, aspettiamo i dati”, ripetono all’unisono il tecnico cigiellino che ci ha confermato la dinamica dell’assalto, e Stefano Milani, direttore della Comunicazione del sindacato confederale.
Attacchi DDoS ai siti politici
Negli ultimi due anni gli attacchi ai siti della sinistra politica e sindacale sono stati diversi, e almeno in un caso orientati a carpire dati personali degli iscritti e pure quelli relativi alle donazioni online. Era successo nell’attacco ai server del Partito Democratico nel luglio 2020 con tentativi di intrusione piuttosto complessi che poi si sono trasformati in azioni di disturbo a bassa intensità ed efficacia. Ma i professionisti dello scasso digitale questo fanno, si intrufolano nelle infrastrutture informatiche, prendono tutto quello che possono e poi lanciano un attacco DDoS per seminare confusione o attivano i ransomware dormienti nei server per cancellare le tracce del loro passaggio. Il DDoS non serve soltanto a rendere i server irraggiungibili per oscurare la comunicazione di chi li gestisce.
Una volta gli attacchi DDoS venivano fatti a mano, si chiamavano NetStrike e servivano a calamitare l’attenzione su temi di rilevanza sociale come la diffusione dell’Aids. Erano i primi anni ‘90, poi sono arrivati gli hacker attivisti di Anonymous che hanno automatizzato gli attacchi con il Loic, il Low Orbit Ion Cannon, un programma informatico che simulava richieste successive e ricorrenti di accesso a un sito per saturarne le capacità e mandarlo offline. Infine sono arrivati i boaters. Da non confondere con gli appassionati di barche (boats, in inglese), sono i rivenditori di botnet, reti di computer zombie, usabili a piacimento per fare attacchi di diverso tipo ai bersagli desiderati.
Si trovano facilmente su Instagram perché le gang criminali che hanno il controllo delle botnet usano i ragazzini che frequentano il social come galoppini per rivendere i loro servizi con tanto di annunci, “affitta una botnet, 20 euro per due ore” ed è subito Crime as a Service: il crimine in affitto, cioè su richiesta, come andare a comprare la frutta al supermercato. Per affittare una botnet capace di attaccare per 8 ore lo stesso bersaglio bastano 100 euro, ma più di un analista ha osservato negli anni che gruppi e gruppetti motivati politicamente hanno raffinato le capacità di agire in maniera coordinata per causare disservizi e interrompere le comunicazioni degli avversari, come fossero gruppi di guerriglia.
Ce lo ha confermato Donato Apollonio, ingegnere responsabile della Gestione dati del Pd: “I motivi possono essere diversi, un attacco DDoS può nascondere un attacco volto a rubare dati che in politica sono preziosissimi o a compromettere i sistemi, ma poi c’è il fattore psicologico, perché l’attacco serve a generare caos nel comparto IT di una azienda o di un partito, quando le operazioni rallentano e il rischio di commettere errori aumenta a causa dello stress. Infine c’è il fattore economico, perché spesso le aziende sono costrette a potenziare l’infrastruttura e a ricorrere a risorse aggiuntive di mezzi e uomini che possono avere un costo non trascurabile”.
Anche per questo si è fatta strada l’ipotesi che l’interruzione di servizio del sito della Cgil possa essere messo in relazione all’attacco portato fisicamente dai manifestanti capeggiati da Roberto Fiore e Luciano Castellino di Forza Nuova, che hanno assaltato la sede centrale del sindacato di Maurizio Landini.
I server della Cgil presi a calci (per davvero)
I tecnici informatici della Cgil ci hanno anche confermato che uno dei server è stato preso a calci dai manifestanti che hanno fatto irruzione nella saletta dedicata e poi ne hanno strappato i cavi, ma sono loro stessi a confermarci che l’attacco DDoS e i disservizi relativi sono incominciati contemporaneamente all’assalto. Insomma potrebbe trattarsi di un’azione coordinata.
Sulla testata giornalistica della Cgil, pure colpita dai disservizi, si legge: “L’attacco hacker al sito istituzionale della Cgil nazionale conferma, se ancora fosse necessario, la premeditazione dell’assalto fascista di sabato 9 ottobre. I tentativi (parzialmente respinti) di incursione informatica sono partiti contemporaneamente all’azione contro la sede di corso Italia e testimoniano un’organizzazione ad ampio raggio tesa a colpire anche l’infrastruttura tecnologica della confederazione nel tentativo di bloccarne le fonti autonome di comunicazione”. Ancora: “Gli indirizzi Ip utilizzati per veicolare l’azione provengono in gran parte da Stati esteri (Germania, Cina, Repubblica Ceca, Stati Uniti, Indonesia) e hanno generato picchi di 130mila tentativi di connessioni contemporanee che hanno causato il sovraccarico dei server rendendo irraggiungibile a più riprese il sito”.
Poco più di un anno fa,, la segreteria del Partito Democratico aveva denunciato “ripetuti attacchi hacker” al sito del Pd che avevano “generato 31 milioni di richieste da 21mila Ip diversi”. Quest’anno era stato preso di mira il sito dedicato alla memoria della Resistenza coordinato dall’Anpi. Il sito noipartigiani.it, appena inaugurato, era stato attaccato dai teppisti del Web. E, notizia di questi giorni, anche la piattaforma online per organizzare i simpatizzanti e gli iscritti al Pd risulta sotto ricorrente attacco.
Denis Roio e Puria Nafisi Azizi, responsabili tecnici di Dyne.org, che tra i progetti cura la nuova piattaforma partecipativa del Pd, ci hanno confermato che “riceviamo attacchi giornalieri, alcuni più banali e altri mirati, ma è un rischio che abbiamo messo in conto sin da quando abbiamo iniziato a lavorare su piattaforme di larga scala come le Agorà Democratiche. Lavoriamo con sistemi decentralizzati e applichiamo tecniche di crittografia avanzate per evitare il peggio. Purtroppo tenere una piattaforma sul Web non è più facile come una volta: occorrono molte accortezze, se lo si vuol fare bene e in modo affidabile”.